基于用户行为的安全处理方法、装置及设备制造方法及图纸

本申请公开了一种基于用户行为的安全处理方法、装置及设备，涉及数据安全技术领域。其中方法包括：根据用户对验证码操作前的页面浏览行为数据，以及对所述验证码的操作行为数据，判断所述用户是否为攻击者；若判定所述用户的所述操作行为数据为真实用户的行为数据，则基于所述用户的所述操作行为数据，利用伪造行为之间的相似度进行聚类分析，若所述用户被设置为可疑的次数大于预设次数阈值，则增加验证难度以及增加模型分类为攻击者的概率，对该用户重新采集行为数据利用模型进行再分类；最终通过融合分类结果，确定该用户是否为攻击者。本申请可基于操作验证码的用户行为数据，实现更加严格的黑产攻击防御，保证了网站安全性。

【技术实现步骤摘要】
基于用户行为的安全处理方法、装置及设备本申请是2020年6月12日提交中国专利局、申请号为2020105367972、名称为“基于用户行为的安全处理方法、装置及设备”的中国专利申请的分案申请。
本申请涉及数据安全
，尤其是涉及到一种基于用户行为的安全处理方法、装置及设备。
技术介绍
验证码作为用户认证的一种有效手段，已经被业界广泛采用，来抵御互联网黑产的攻击。其主要原理在于，黑产通常需要通过大量重复性的访问来获取利益，而验证码可以有效的增加每次访问的成本。目前，随着近年来深度学习的崛起，利用计算机自动识别网站验证码变得越来越容易。不论滑块验证码，图片选择验证码，文字点选验证码，甚至是需要语义理解的问答题，都可以有相应成熟的深度模型解决方案，这大大降低了黑产破解图片或文字验证码的难度，使得黑产攻击防御失败，从而降低了网站安全性。
技术实现思路
有鉴于此，本申请提供了一种基于用户行为的安全处理方法、装置及设备，主要目的在于改善目前现有技术中会容易使得黑产攻击防御失败，从而降低网站安全性的技术问题。依本文档来自技高网...

【技术保护点】
1.一种基于用户行为的安全处理方法，其特征在于，包括：/n获取用户对验证码操作前的页面浏览行为数据，以及对所述验证码的操作行为数据；/n根据所述页面浏览行为数据，利用神经网络模型对所述用户进行分类，所述神经网络模型是基于正常用户和攻击者的验证码操作前的页面浏览行为数据训练得到的；及，/n根据所述用户的所述操作行为数据，利用单分类模型对所述用户进行分类，所述单分类模型是基于正常用户的验证码操作行为数据训练得到的；/n根据所述用户的所述操作行为数据得到行为编码，对行为编码进行聚类分析，根据聚类分析结果对相关的用户IP地址进行绑定，并对绑定的用户IP地址的访问频率进行联合计数；/n若根据联合计数结果...

【技术特征摘要】
1.一种基于用户行为的安全处理方法，其特征在于，包括：
获取用户对验证码操作前的页面浏览行为数据，以及对所述验证码的操作行为数据；
根据所述页面浏览行为数据，利用神经网络模型对所述用户进行分类，所述神经网络模型是基于正常用户和攻击者的验证码操作前的页面浏览行为数据训练得到的；及，
根据所述用户的所述操作行为数据，利用单分类模型对所述用户进行分类，所述单分类模型是基于正常用户的验证码操作行为数据训练得到的；
根据所述用户的所述操作行为数据得到行为编码，对行为编码进行聚类分析，根据聚类分析结果对相关的用户IP地址进行绑定，并对绑定的用户IP地址的访问频率进行联合计数；
若根据联合计数结果判定所述用户被设置为可疑的次数大于预设次数阈值，则利用所述神经网络模型和所述单分类模型对所述用户进行再分类，其中，在所述神经网络模型和所述单分类模型进行再分类时，调低模型分类阈值以增加所述用户被分类为攻击者的概率；
通过融合所述神经网络模型和所述单分类模型的分类结果，确定所述用户是否为攻击者。


2.根据权利要求1所述的方法，其特征在于，所述获取用户对验证码的操作行为数据，以及对所述验证码操作前的页面浏览行为数据，具体包括：
获取所述用户在打开验证码所在页面到完成验证码验证的时间段内的用户行为数据；
以所述用户开始验证码验证操作的时间点为切割点，对所述用户的用户行为数据进行切割，得到所述用户的所述操作行为数据和所述页面浏览行为数据。


3.根据权利要求2所述的方法，其特征在于，所述方法还包括：
将不同用户的分类结果以及各自对应的用户行为数据保存在用户行为日志中；
定时从用户行为日志中，基于内网IP段、和/或IP白名单、和/或用户白名单过滤得到正常用户的行为数据；
根据定时得到的正常用户的行为数据，更新所述单分类模型对应训练所需的原有用户数据集，以便利用更新后的用户数据集训练所述单分类模型；
利用测试达标的所述单分类模型进行模型更新；
使用更新后的所述单分类模型对当前时间段内的用户行为数据进行分类，提取出被分类为攻击者的行为数据，并加入到原有攻击者数据集中进行更新；
利用更新后的用户数据集和更新后的攻击者数据集，训练所述神经网络模型；
使用测试达标的所述神经网络模型进行模型更新。


4.根据权利要求3所述的方法，其特征在于，所述利用更新后的用户数据集和更新后的攻击者数据集，训练所述神经网络模型，具体包括：
若所述更新后的用户数据集与所述更新后的攻击者数据集的正负样本数量不均衡，则对正负样本采用不同的采样率进行样本采集，得到符合预设正负样本均衡条件的训练集；
利用所述符合预设正负样本均衡条件的训练集，训练所述神经网络模型。


5.根据权利要求1所述的方法，其特征在于，所述根据所述页面浏览行为数据，利用神经网络模型对所述用户进行分类，具体包括：
从所述用户的所述页面浏览行为数据中，获取第一鼠标行为序列和/或键盘输入行为序列；
按照鼠标操作类型、鼠标所在坐标和事件发生时间，对所述第一鼠标行为序列进行鼠标操作特征提取，以根据所述鼠标操作特征，并结合正常用户和攻击者的验证码操作前的历史鼠标操作特征，确定所述用户为攻击者的第一概率值，其中所述鼠标操作类型至少包括：点击、按下、抬起、移动、移出边界、移入边界、滚动中的一个或多个；和/或，
按照键盘输入的字符对应的ASCII码、键盘输入对应的时间，对所述键盘输入行为序列进行键盘输入特征提取，以根据所述键盘输入特征、并结合正常用户和攻击者的验证码操作前的历史键盘输入特征，确定所述用户为...

【专利技术属性】
技术研发人员：张伟望，覃建策，田本真，陈邦忠，
申请(专利权)人：完美世界北京软件科技发展有限公司，
类型：发明
国别省市：北京;11